Подключение с помощью файлового коллектора

Подключение нового файлового коллектора

Предварительные условия:

Источник событий ИБ поддерживает передачу событий по SFTP
Наличие лицензии (разрешения) на использование Файлового коллектора (см. Обзор графического интерфейса → О программе → Информация о программе)
Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером ПК «КОМРАД»

Для установки файлового коллектора на определенный узел, необходимо:

На узле-источнике создать директорию, в которую необходимо переместить deb-пакет komrad-file-collector*.deb из дистрибутива ПК «КОМРАД»
Установить из папки Файловый коллектор командой:
```
sudo dpkg -i ./komrad-file-collector*.deb
```
Открыть файл komrad-file-collector.yaml командой:
```
sudo nano /etc/echelon/komrad/komrad-file-collector.yaml
```
Отредактировать параметр bus-url, задав IP-адрес сервера ПК «КОМРАД»:
```
bus:
    servers:
    - nats://IP_ ПК «КОМРАД»:3490
```
Сохранить файл и перезагрузить Файловый коллектор командой:
```
sudo systemctl restart komrad-file-collector.service
```
Новый Файловый коллектор отобразится в списке коллекторов в веб-интерфейсе

Расположение: Администрирование → Настройка коллекторов → Файловый коллектор

Действия по подключению:

Кликните по файловому коллектору
С помощью кнопки «Редактировать» при необходимости задайте название коллектора
На вкладке «Источники» нажмите на кнопку «Добавить». Справа появится форма создания нового источника для файлового коллектора
Задайте параметры подключения на вкладке «Подключение» формы создания нового источника:
- Название - название узла источника
- Описание - описание источника
- Актив - IP-адрес узла источника
- Протокол - протокол сбора: SFTP/Локальная машина
- Порт
- Логин и пароль учетной записи, также поддерживается возможность авторизации по ключу (сертификату)

Действия по сбору:

Добавьте необходимые для передачи в ПК «КОМРАД» файлы, задав полные пути к ним на вкладке «Сбор»
Включите сбор для каждого добавленного файла
Включите коллектор, если он был выключен или перезагрузите, если он был включен
На узле-источнике убедитесь, что события регистрируются в указанных файлах
Для просмотра событий, поступающих от подключенного источника в ПК «КОМРАД», перейдите на дашборд событий в реальном времени События → События в реальном времени

Дополнительно:

Для обеспечения возможности подключения с использованием ключа (сертификата) необходимо сохранить его копию в директории $HOME/.ssh
Необходимо удостоверится, что у файла, который планируется собирать файловым коллектором, настроено право на чтение пользователем, с помощью которого будет осуществляться сбор

Удалить файловый коллектор можно с помощью команды:

sudo dpkg -P komrad-file-collector